루트킷 탐지와 시스템 무결성 스캔 (Rootkit Detection & Integrity Scan)

핵심 인사이트 (3줄 요약)

  1. 본질: 루트킷(Rootkit)은 운영체제 커널(Ring 0)의 가장 깊은 곳을 장악하여 백신 프로그램의 눈을 속이고 자신의 존재를 시스템에서 완전히 투명하게 지워버리는 은닉형 악성코드다. 이를 탐지하는 유일한 방패가 **무결성 스캔(Integrity Scan)**이다.
  2. 가치: 루트킷에 감염되면 ls, ps, netstat 등 관리자가 맹신하던 모든 기본 명령어들의 출력 결과가 조작된 거짓말이 되므로, OS를 절대 믿지 않고 외부의 수학적 해시(SHA-256) 암호화 서명이나 격리된 오프라인 스캐너를 통해 진실을 밝혀내는 철학적 전환을 제공한다.
  3. 융합: 과거 파일의 용량이나 수정 시간(Timestamp)만 보던 1차원적 탐지에서 벗어나, 현대에는 커널 시스템 콜 테이블 후킹 감지, eBPF 런타임 행동 분석, 하드웨어 TPM 칩을 연동한 시큐어 부트(Secure Boot) 등 하드웨어-OS 융합 보안 체계로 진화했다.

Ⅰ. 개요 및 필요성 (Context & Necessity)

  • 개념:

    • 루트킷 (Rootkit): 시스템 최고 관리자 권한(Root)을 영구적으로 탈취한 뒤, 해커의 백도어 파일, 실행 중인 악성 프로세스, 열려있는 해킹 포트를 감춰주는(Cloaking) 특수 목적 악성코드 세트다.
    • 무결성 스캔 (Integrity Scan): 시스템의 중요 파일이나 메모리 구조가 '허가되지 않은 자에 의해 변조되지 않고 깨끗한 원본 상태를 유지하고 있음'을 암호학적으로 증명하고 대조하는 감사 행위다.

  • 필요성(문제의식):

    • 해커가 서버를 뚫고 백도어 파일을 심었다. 관리자가 ls 명령어로 폴더를 뒤져본다.
    • 그런데 루트킷이 리눅스 커널의 파일 목록 읽기 함수(System Call)를 조작해서, 해커 파일 이름이 나오면 화면에 출력되지 않게 빼버린다. 관리자 눈에는 서버가 평온해 보인다.
    • 해결책: "감염된 OS가 들려주는 정보는 모조리 사기다! 오염 불가능한 외부의 깨끗한 기준(Baseline Hash DB)을 만들어두고, 1바이트라도 변경되면 즉시 알람을 울리는 무결성 감시자(Tripwire)를 배치하자!"

  • 💡 비유:

    • 루트킷 감염: 미술관 경비원(백신)이 CCTV 화면을 열심히 보고 있는데, 해커(루트킷)가 이미 카메라 렌즈 앞에 '아무 일 없는 텅 빈 복도' 사진을 붙여놓은 상태. 경비원은 화면만 보고 "안전하다"고 착각함.
    • 무결성 스캔: 화면을 믿지 못하는 관장이 매일 밤 12시에 직접 레이저 스캐너를 들고 복도로 걸어 나가, 어제 바닥에 찍어둔 지문 해시(Hash) 패턴과 오늘 바닥의 패턴이 단 1mm라도 달라진 게 없는지 암호학적으로 검사하는 치밀한 행위.

  • 등장 배경:

    • 1990년대 해커들이 유닉스 환경의 login, ps 같은 기본 명령어 바이너리 자체를 덮어쓰는 1세대 루트킷(User-mode Rootkit)을 유행시켰고, 2000년대 LKM(커널 모듈)을 악용한 2세대 커널 루트킷(Kernel-mode Rootkit)이 판을 치자, 이에 맞서 Tripwire, AIDE 같은 무결성 감시 도구들이 엔터프라이즈 보안의 표준으로 정착했다.
  ┌─────────────────────────────────────────────────────────────┐
  │                 루트킷의 은닉(Cloaking) 원리와 무결성 탐지 구조       │
  ├─────────────────────────────────────────────────────────────┤
  │                                                             │
  │  [ 1. 루트킷이 관리자의 눈을 멀게 하는 원리 (System Call 후킹) ]    │
  │                                                             │
  │   관리자: `$ ps` (프로세스 목록 좀 보여줘)                     │
  │        │                                                    │
  │        ▼                                                    │
  │   [ 😈 루트킷이 장악한 커널 테이블 (sys_call_table) ]            │
  │   원래 `sys_getdents` 주소 대신 ──▶ [ 해커의 가짜 함수 ]로 점프!  │
  │        │                              │ (해커의 프로세스 ID=99 삭제)│
  │        ▼                              ▼                     │
  │   진짜 프로세스 목록 가져옴 ──▶ (필터링 후 조작된 찌꺼기 리턴) ──▶ 관리자 騙│
  │                                                             │
  │  [ 2. 무결성 스캐너 (AIDE / Tripwire)의 방어 원리 ]             │
  │                                                             │
  │   ┌── 안전 금고 (Offline DB) ───────────────┐               │
  │   │ 원본 `/bin/ps` 의 SHA-256 해시: a1b2... │               │
  │   └─────────────────────────────────────────┘               │
  │        ▲ 대조 (Match?)                                      │
  │        │                                                    │
  │   무결성 스캐너 (자체 엔진으로 직접 디스크 바이너리 스캔)             │
  │        ▼ 해시 재계산                                          │
  │   현재 `/bin/ps` 의 SHA-256 해시: x9y8... (다름! 변조됨!)        │
  │                                                             │
  │   ▶ 결과: 루트킷이 파일 크기와 수정 날짜(Timestamp)를 똑같이 위조해도, │
  │           내용이 1바이트라도 바뀌면 해시값이 완전히 틀어져 무조건 적발됨! │
  └─────────────────────────────────────────────────────────────┘

[다이어그램 해설] 그림 상단은 커널 레벨 루트킷의 고전적인 수법인 '시스템 콜 후킹(Hooking)'을 보여준다. OS의 모든 정보는 결국 시스템 콜 관문(Table)을 통과해야 하므로, 이 문지기를 해커 매수로 매수해 버리면 OS 위에서 도는 모든 백신과 모니터링 도구는 조작된 데이터(눈먼 데이터)만 받게 된다. 이 은폐막을 뚫는 유일한 방법이 하단의 무결성 해시 스캔이다. 해커가 파일의 날짜와 크기를 똑같이 위조하는 '타임스톰핑(Timestomping)' 기술을 써도, 파일 내부 기계어 1비트의 변화가 발생하면 해시 함수(SHA-256)의 성질(눈사태 효과)에 의해 해시값이 완전히 달라져 버린다. 수학은 절대 거짓말을 하지 않기 때문에 루트킷을 완벽히 색출할 수 있다.

  • 📢 섹션 요약 비유: 마피아가 경찰서장(커널)을 매수해서 동네 범죄 기록을 다 지워버리면 일반 순경(백신)들은 알 길이 없습니다. 하지만 정부 감사관(무결성 스캐너)이 예전에 경찰서장 몰래 본부에 복사해 둔 '절대 장부 해시값'을 들고 내려와 현재 장부와 대조하면, 서장의 거짓말이 100% 폭로되는 강력한 감찰 시스템입니다.

Ⅱ. 아키텍처 및 핵심 원리 (Deep Dive)

무결성 스캔 파이프라인 아키텍처

Tripwire, OSSEC 등 무결성 감시 도구(FIM, File Integrity Monitoring)의 표준 동작 주기는 다음과 같다.

  1. 기준선(Baseline) 생성 (가장 중요!): 서버를 처음 설치하고 인터넷을 연결하기 직전의 '가장 깨끗한(Pristine) 상태'에서 OS 핵심 파일들(/etc/passwd, /bin/ls, 부트로더 등)의 해시(MD5/SHA)와 메타데이터 속성을 쫙 뽑아내어 암호화된 데이터베이스에 저장한다.
  2. 오프라인/Read-Only 보관: 이 기준선 DB 파일마저 루트킷이 변조하면 끝장이므로, DB 파일을 쓰기 방지(Read-Only) 매체(CD-ROM, 결합된 S3 버킷)나 별도의 중앙 로깅 서버로 빼돌린다.
  3. 주기적 무작위 스캔: 스케줄러가 매일 밤, 혹은 랜덤한 시간에 깨어나 현재 파일 시스템의 중요 파일 해시를 다시 맹렬하게 계산한다.
  4. 편차(Deviation) 경고: 기준선 해시와 1비트라도 다른 파일이 발견되면, 시스템 관리자에게 즉시 Pager/이메일을 쏘고 해당 서버를 네트워크에서 강제 격리(Quarantine)시킨다.

루트킷의 메모리 은닉 기법과 동적 탐지 (Volatility)

해커들도 진화하여, 디스크에 파일을 남기지 않고 **오직 RAM (메모리) 위에만 존재하는 Fileless 루트킷(메모리 인젝션)**을 쓰기 시작했다. 디스크 무결성 스캐너는 메모리 위의 유령을 잡을 수 없다.

  ┌───────────────────────────────────────────────────────────────────┐
  │                 Direct Kernel Object Manipulation (DKOM) 탐지 원리    │
  ├───────────────────────────────────────────────────────────────────┤
  │                                                                   │
  │   [ 해커의 DKOM 은닉 수법 (연결 리스트 조작) ]                          │
  │                                                                   │
  │   OS의 프로세스 관리 리스트 (task_struct Double Linked List)          │
  │                                                                   │
  │   [PID 100] ◀──▶ [PID 101(해커)] ◀──▶ [PID 102]                  │
  │         └─────────────── (건너뛰기) ───────────────┘                  │
  │                                                                   │
  │   ※ 해커가 커널 메모리를 직접 조작하여, 100번이 102번을 가리키게 포인터만 뺌. │
  │   ※ 101번은 스케줄러 큐에 남아 실행은 되지만, 관리 리스트에는 없어서 투명해짐! │
  │                                                                   │
  │   [ 메모리 포렌식 도구(Volatility)의 교차 검증 탐지 ]                     │
  │                                                                   │
  │   1. 시점 1: 조작된 커널 리스트를 따라가며 PID 수집 -> [100, 102] 발견     │
  │   2. 시점 2: 메모리를 바이트 단위로 풀스캔(Carving)하여 `task_struct`의   │
  │             특정 시그니처(Magic Number)를 무식하게 다 찾아냄.            │
  │             -> 메모리 바닥에서 [100, 101, 102] 3개 덩어리 발견!         │
  │                                                                   │
  │   ▶ 교차 비교: "어? 정상 리스트엔 없는데 메모리 바닥엔 101번이 숨어있네?"      │
  │             -> 🚨 루트킷(DKOM) 은닉 100% 탐지 성공!                   │
  └───────────────────────────────────────────────────────────────────┘

[다이어그램 해설] 이것은 OS 해킹의 최고봉인 DKOM(직접 커널 객체 조작)과 이를 잡는 메모리 포렌식의 쫓고 쫓기는 추격전이다. 해커는 시스템 콜 테이블을 건드리는 게 너무 잘 걸리자, 아예 커널의 자료구조 포인터 선을 끊어서(Unlink) OS의 정상적인 명부에서 자기 프로세스를 지워버렸다. 명부에 없으니 ps 명령어는 당연히 해커를 못 본다. 방어자(Volatility 등 메모리 무결성 스캐너)는 OS가 주는 엑셀 명부 따위는 쓰레기통에 버리고, 램(RAM) 덤프 파일 전체를 1바이트씩 노가다로 훑어가며(Memory Carving) 프로세스 구조체 모양을 가진 덩어리를 싹 다 건져 올린다. 그리고 두 결과를 교차 검증(Cross View)하여 숨겨진 투명 프로세스를 멱살 잡아 끌어낸다.

  • 📢 섹션 요약 비유: 해커가 학교 출석부에서 자기 이름만 화이트로 몰래 지워버려서(DKOM), 선생님이 출석부를 부를 땐 해커가 없는 것처럼 보입니다. 하지만 무결성 교장 선생님이 출석부 대신 직접 교실 문을 잠그고 머릿수(메모리 풀 스캔)를 하나하나 다 세어본 뒤 출석부 이름 개수와 비교하여 숨어있던 유령 학생을 잡아내는 기법입니다.

Ⅲ. 융합 비교 및 다각도 분석

백신(Anti-Virus) vs 무결성 감시(FIM) vs 메모리 포렌식 비교

서버 아키텍처를 지키는 3중 방어막의 역할 분담이다.

방어 도구 체계탐지 대상 및 타겟핵심 탐지 원리 메커니즘치명적 한계점
Anti-Virus (전통적 백신)알려진 일반 악성코드, 트로이목마 파일블랙리스트(시그니처 패턴 매칭). 나쁜 놈 DB와 대조.제로데이(0-day) 공격이나 처음 보는 변종 루트킷은 절대 잡지 못함.
FIM (무결성 스캐너, Tripwire)시스템 핵심 파일, 환경 설정 파일, 바이너리화이트리스트(해시 무결성). 1바이트라도 원본과 다르면 알람.메모리(RAM) 위에서만 도는 파일리스(Fileless) 공격은 탐지 불가.
Memory Forensics (Volatility)커널 자료구조, 은닉된 프로세스 및 포트크로스 뷰(Cross-view) 분석. 커널 API 결과와 실제 램 바닥 데이터 교차 검증.실시간 라이브 차단이 어려움. 장애 발생 후 램 덤프를 떠서 사후 분석해야 함.

과목 융합 관점

  • 하드웨어 구조 (Secure Boot 및 TPM): 가장 악질적인 부트킷(Bootkit)은 OS 커널이 켜지기도 전인 MBR이나 UEFI 단계에서 먼저 실행되어 무결성 스캐너 자체를 바보로 만든다. 이를 막기 위해 메인보드의 TPM(Trusted Platform Module) 칩과 결합된 **시큐어 부트(Secure Boot)**가 도입되었다. 부트 로더 $\rightarrow$ 커널 $\rightarrow$ OS 드라이버로 이어지는 모든 부팅 체인 단계마다 전자 서명의 무결성을 하드웨어 레벨에서 암호학적으로 검증하여 서명이 다르면 컴퓨터를 아예 켜주지 않는 최후의 하드웨어/OS 융합 방패다.

  • 클라우드 컨테이너 보안 (Immutable Infrastructure): Docker나 Kubernetes의 철학인 "불변 인프라(Immutable)" 자체가 완벽한 무결성 방어 전략이다. 컨테이너 내부의 파일이 하나라도 변조되면(루트킷 감염 시도), 관리자는 그 파일이 뭔지 스캔하고 고치는 수고를 하지 않는다. 그냥 그 컨테이너를 죽여버리고(Kill) 새롭고 깨끗한 100% 무결점 이미지를 0.1초 만에 새로 찍어낸다. 무결성 스캔을 넘어선 클라우드식 "무결성 파괴 후 리셋" 철학이다.

  • 📢 섹션 요약 비유: 구형 백신이 수배 전단(블랙리스트)을 들고 길거리에서 지명수배자를 찾는 경찰이라면, 무결성 스캔은 매일 아침 성벽(OS)의 금이 간 곳이 없는지 벽돌 하나하나를 두드려보는 순찰병이고, 클라우드 불변 인프라는 성벽에 금이 가면 1초 만에 새 성벽을 복사해 덮어씌워 버리는 마법입니다.

Ⅳ. 실무 적용 및 기술사적 판단

실무 시나리오 및 인프라 보안 튜닝

  1. 시나리오 — 금융권 서버망의 Tripwire 알람 폭주 (False Positive): 보안 규제(ISMS, PCI-DSS) 때문에 1,000대의 리눅스 서버에 Tripwire를 설치했다. 그런데 개발팀이 새벽에 애플리케이션 코드를 배포하거나 리눅스 yum update를 칠 때마다 파일 해시가 싹 바뀌어 무결성 알람이 수만 건씩 쏟아지는 양치기 소년 사태가 터졌다.

    • 아키텍트 판단 (CI/CD 파이프라인 연동 및 예외 튜닝): 무결성 스캐너는 시스템 변경의 '합법성'을 모른다. 아키텍트는 CI/CD 파이프라인 배포 프로세스 내에 Tripwire의 Baseline 자동 갱신(Update) 스크립트를 삽입하여, 젠킨스(Jenkins) 배포 직후에만 잠시 합법적 해시 갱신을 허용하는 아키텍처를 연동해야 한다. 또한 자주 바뀌는 /var/log/tmp 폴더는 애초에 무결성 스캔 범위에서 제외(Exclude)하는 정책 최적화를 해야 보안팀이 피로에 지쳐 진짜 알람을 무시하는 인적 재난을 막을 수 있다.

  2. 시나리오 — eBPF 기반의 차세대 런타임 보안 도입: 디스크 무결성 스캔(정적 방어)만으로는 메모리에서 실행되는 익스플로잇이나 커널 바이패스 공격을 막기 부족해졌다. 보안팀이 실시간 차단 솔루션을 요구한다.

    • 아키텍트 판단 (Cilium Tetragon / Falco 도입): 커널 모듈(LKM)을 이용한 보안 도구는 오히려 OS 패닉을 유발할 수 있다. 커널 소스를 수정하지 않고도 시스템 콜 훅(Hook)을 마이크로초 단위로 추적할 수 있는 최첨단 eBPF(Extended BPF) 기반의 런타임 보안 도구를 배포한다. 만약 Nginx 프로세스가 갑자기 쉘(/bin/bash)을 실행하려 하거나, chmod 권한을 몰래 바꾸려는 비정상 행위(Behavior)를 시도하면, eBPF 엔진이 커널 레벨에서 즉각 그 시스템 콜을 차단하고 프로세스를 죽여(Kill) 루트킷의 활동 자체를 마비시킨다.
  ┌───────────────────────────────────────────────────────────────────┐
  │                 OS 계층별 안티-루트킷(Anti-Rootkit) 방어 스택 설계도        │
  ├───────────────────────────────────────────────────────────────────┤
  │                                                                   │
  │   1. [ 펌웨어 레벨 (Ring -1) ] : 부트킷/펌웨어 변조 방어                   │
  │       - 조치: 메인보드 UEFI Secure Boot 활성화, TPM 하드웨어 칩 결합       │
  │               (OS 부트로더의 해시 서명이 안 맞으면 아예 부팅 거부)             │
  │                                                                   │
  │   2. [ 커널 레벨 (Ring 0) ] : 커널 모듈/LKM 루트킷 방어                    │
  │       - 조치: 커널 파라미터 `modules_disabled=1` 설정 (모듈 적재 원천 차단) │
  │               커널 모듈 서명(Signed Module) 의무화 강제 적용              │
  │                                                                   │
  │   3. [ 런타임 행동 분석 (eBPF) ] : 메모리 은닉(DKOM)/파일리스 방어            │
  │       - 조치: Falco 등 도입하여 허가되지 않은 시스템 콜 호출 실시간 차단        │
  │                                                                   │
  │   4. [ 파일 시스템 레벨 (Ring 3) ] : 바이너리 변조/백도어 방어              │
  │       - 조치: AIDE, Tripwire를 통한 매일 자정 크론탭 무결성 해시 스캔        │
  └───────────────────────────────────────────────────────────────────┘

[다이어그램 해설] 루트킷 방어는 절대 단일 솔루션으로 불가능한 '심층 방어(Defense in Depth)'의 결정체다. 4번 파일 스캔만 맹신하면 이미 2번 커널을 장악한 루트킷의 눈속임에 당한다. 1번 펌웨어부터 4번 유저 스페이스까지 이어지는 트러스트 체인(Chain of Trust)을 설계하는 것이 아키텍트의 임무다. 특히 운영 중인 서버라면 함부로 모듈이 꽂히지 못하게 커널 파라미터(sysctl)로 아예 insmod 기능을 잠가버리는(modules_disabled) 하드코어한 커널 하드닝(Hardening) 결단도 필요하다.

안티패턴

  • 스캔 DB를 동일 서버 내에 평문으로 방치: 파일 무결성을 검사하는 엔진 파일(Tripwire 실행 파일)과 기준이 되는 원본 해시 DB(Database) 파일을 대상 서버의 루트 디렉터리에 아무 암호화 없이 그냥 놔두는 짓. 고도로 숙련된 루트킷은 이 무결성 DB 파일 자체를 찾아내어 해커 파일의 해시값으로 업데이트(조작)해 버린다. 무결성 DB는 반드시 외부 로깅 서버에 있거나 하드웨어적인 쓰기 방지(Read-Only)가 적용된 매체에 격리 보관해야 한다.

  • 📢 섹션 요약 비유: 적군(루트킷)이 쳐들어오는지 감시하라고 파수꾼(무결성 스캐너)을 세워놨는데, 파수꾼이 보는 '아군 얼굴 명부(DB)' 책자를 아무나 수정할 수 있게 성벽 위에 던져두면(안티패턴), 적군이 몰래 자기 얼굴을 명부에 그려 넣고 유유히 성문을 통과하게 됩니다.

Ⅴ. 기대효과 및 결론

정량/정성 기대효과

구분무결성 스캔 부재 환경복합 무결성 검증 아키텍처 도입개선 효과
정량 (은닉 탐지율)커널 루트킷 및 파일리스 공격 0% 탐지1바이트 변조도 SHA-256 대조로 100% 탐지오탐/미탐 없는 수학적(수치적) 악성코드 색출률 달성
정성 (침해 사고 대응)해킹 후 어디까지 털렸는지 파악 불가, 전체 포맷변조된 파일 리스트(diff) 즉시 확보포렌식 조사 기간 수 개월 -> 수 분 단축 및 타겟 복구
정성 (규제 준수)금융/공공 기관 ISMS 보안 심사 탈락시스템 무결성 유지 항목 완벽 소명엔터프라이즈 인프라의 대외 보안 신뢰도(Compliance) 증명

미래 전망

  • AI 융합 변종 루트킷과 행위 기반 탐지: 기존 루트킷은 커널 테이블을 수정하는 뻔한 수법을 썼지만, 최근에는 AI를 탑재해 탐지 도구가 스캔할 때는 정상처럼 행동하다 스캔 주기가 끝나면 다시 악성 행위를 하는 회피형 루트킷이 등장했다. 이를 잡기 위해 해시(정적) 스캔뿐만 아니라, 시스템 콜 호출 패턴을 머신러닝으로 분석해 비정상적 행동(Anomaly Behavior) 스파이크를 즉시 잡아내는 AI/ML 결합형 EDR(Endpoint Detection and Response)이 주류로 자리 잡았다.
  • 기밀 컴퓨팅 (Confidential Computing): 클라우드 인프라 제공자(AWS, GCP)조차 믿을 수 없는 시대다. 인텔 SGX나 AMD SEV 기술을 이용해 CPU 칩 안에 암호화된 '보안 엔클레이브(Secure Enclave)' 메모리 구역을 만들면, 해커가 OS 커널 권한(Root)을 통째로 장악하더라도 이 엔클레이브 안의 메모리는 아예 들여다볼 수조차 없다. 루트킷의 권력 한계를 하드웨어 칩으로 억누르는 궁극의 보안 패러다임이다.

참고 표준

  • NIST SP 800-115: 기술적 정보 보안 테스팅과 시스템 무결성 점검에 관한 미국 국립표준기술연구소의 공식 대응 가이드.
  • FIPS 140-2 / 140-3: 암호화 모듈과 무결성 검증(SHA 계열 해시 등)을 수행하는 소프트웨어/하드웨어가 지켜야 할 연방 정보 처리 표준.

루트킷 탐지와 무결성 스캔의 역사는 "믿는 도끼에 발등 찍힌다"는 속담의 해커 버전이다. 시스템 관리자의 가장 충직한 심복이었던 커널과 기본 명령어들이 해커에게 세뇌당해 관리자의 눈을 가리는 순간, 인프라는 돌이킬 수 없는 파국을 맞는다. 무결성 스캔은 "나 자신조차 믿지 마라"는 제로 트러스트(Zero Trust)의 가장 밑바닥 철학을 수학적 해시(Hash)라는 절대 변하지 않는 법칙을 통해 하드코어하게 증명해 내는 운영체제의 마지막 양심이자 등대다.

  • 📢 섹션 요약 비유: 거울(커널 명령어) 속에 비친 내 얼굴이 해커가 씌워놓은 가면(루트킷)인지 진짜 내 얼굴인지 구분이 안 갈 때, 거울을 믿지 않고 매일 아침 병원에 가서 내 유전자(DNA 해시값 무결성)를 검사하여 가짜 나를 판별해 내는 지독하고도 가장 확실한 보안 생존술입니다.

📌 관련 개념 맵 (Knowledge Graph)

개념 명칭관계 및 시너지 설명
해시 함수 (SHA-256)단 1비트의 입력 데이터만 바뀌어도 출력값이 눈사태처럼 완전히 달라지는 무결성 스캐너의 절대적 수학 엔진이다.
시스템 콜 (System Call)해커(루트킷)가 유저 프로세스와 OS 커널 사이의 정보 흐름을 조작하기 위해 가장 먼저 낚아채는(Hooking) 핵심 길목이다.
eBPF (Extended BPF)과거에는 커널을 건드려야만 모니터링이 가능했지만, 이제는 샌드박싱된 훅으로 런타임 무결성을 실시간 검증하는 모던 스위스 아미 나이프다.
시큐어 부트 (Secure Boot)커널이 로딩되기 전의 펌웨어 단계(Ring -1)에서 부트킷을 쳐내기 위해 TPM 하드웨어와 연동하는 가장 앞단의 무결성 방어벽이다.
메모리 포렌식 (DKOM 방어)OS의 조작된 링크드 리스트를 믿지 않고 RAM 덤프 파일을 직접 파싱(Carving)하여 메모리 은닉 루트킷을 잡아내는 사후 검증술이다.

👶 어린이를 위한 3줄 비유 설명

  1. 아주 똑똑한 도둑(루트킷)이 미술관에 몰래 숨어들어와서, 경비원 아저씨의 CCTV 카메라 렌즈에 '아무도 없는 복도 사진'을 찰싹 붙여놨어요.
  2. 경비원 아저씨는 화면만 보고 "아무 일도 없네!"라고 믿어버리죠. 화면(기본 명령어)을 완전히 조작당한 거예요.
  3. 그래서 깐깐한 미술관장님은 화면을 안 믿고, 매일 자정마다 직접 레이저 스캐너(무결성 검사기)를 들고 나가서 어제 바닥에 남겨둔 비밀 암호(해시값)가 지워지진 않았는지 확인해서 도둑을 기어코 잡아낸답니다!